Dansk studerende finder alvorlige sikkerhedshuller i Snowden-rost sky-storage

Kryptering af filer var ikke lige så sikkert, som firmaet bag selv troede.

En specialestuderende har fundet alvorlige sikkerhedshuller i sky-produktet SpiderOak One. Firmaet bag har vedkendt sig problemerne og rettet fejlene .

Den amerikanske sky-tjeneste SpiderOak har i en årrække udbudt produktet SpiderOak One til opbevaring af filer i skyen.

Tjenesten, der blandt andet har fået rosende omtale af Edward Snowden, har slået sig op på at være mere sikker end konkurrenter som for eksempel Dropbox, da SpiderOak One krypterer data før upload. På den måde kan data angiveligt ikke tilgås af SpiderOak selv – en service, som virksomheden selv kalder for 'no knowledge'.

Det skriver Aarhus Universitet i en pressemeddelelse.

Datalogistuderende Anders Dalskov ved Institut på Datalogi på Aarhus Universitet har nu fundet fire alvorlige sikkerhedshuller i tjenesten, som han har skrevet speciale om:

»Specialet har fokus på hvordan SpiderOak One krypterer en brugers filer, kommunikerer med serveren, hvordan en bruger autentificeres overfor serveren, og hvordan brugerens password samt krytopgrafiske nøgler bliver håndteret,« siger Anders Dalskov.

Ret bekymrende sikkerhedshuller

I sit speciale har Anders Dalskov beskrevet, hvordan han har brugt den på det tidspunkt nyeste klient til tjenesten som udgangspunkt for en omfattende sikkerhedsanalyse. Her identificerede han en række potentielle angreb, der kunne udføres af en SpiderOak-server, der enten aktivt eller passivt angriber klienten.

»Vi fandt i alt fire forskellige sikkerhedshuller ved SpiderOak One, som vi selv ville betegne som ret bekymrende: To forskellige måder, hvorpå serveren kunne anskaffe sig brugerens password og dermed fuld adgang til hans filer, og yderligere to sikkerhedshuller, der på anden vis svækker sikkerheden af brugerens filer. Vi tog kontakt til folkene bag SpiderOak omkring vores fund, og efterfølgende har de opdateret SpiderOak One,« fortæller han.

»Hensigten med specialet har alene været at undersøge SpiderOaks påstand om, at de ikke kan tilgå brugernes data. Men det er kun SpiderOak folkene selv, der har kunnet løse problemet, så det er rigtig fedt at se, at de har taget de sikkerhedsproblemer, vi har fundet, seriøst,« siger Anders Dalskov, der netop har takket ja til en ph.d.-stilling på Institut på Datalogi på Aarhus Universitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Cristian Ambæk

Vil version2 fortælle mig at den studerende ikke blev politi anmeldt eller fik tilsendt et vredt advokat brev?

SpiderOak folkene benægtede heller ikke problemet??

Pff, amatører. Jeg tror at KMD vil kunne lære dem en ting eller to om hvordan man håndtere sådanne problemer.

Ellers godt arbejde til Anders Dalskov.

Martin Hvidberg

Aarhus Univ. er ikke en offentlig inst. men en selvejende institution, som følge af Univ-loven af 2013.
Derudover er meget univ. forskning finansieret af et kludetæppe af kilder. Det er ikke længere en rimelig forventning at deres forskning altid skal være offentlig - desværre.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder